Niezależnie czy mówimy o wpływie na finanse przedsiębiorstwa, czy o działaniach na szkodę jego marki, oszuści internetowi stanowią coraz większy problem. Umieszczanie złośliwego oprogramowania czy wyłudzanie danych mają za zadanie zakłócić prawidłowe funkcjonowanie firmy. Aby zapobiec oszustwom internetowym, ważne jest aby firmy dobrze znały swoją infrastrukturę – wiedziały, które miejsca czy aplikacje mogą być bardziej podatne na ataki. Ważne jest również aby firmy skupiły się na efektywnej edukacji swoich pracowników i współpracowały z odpowiednimi partnerami tak, aby nadążyć za zmieniającym się światem cyberbezpieczeństwa.
Zabezpieczanie danych w erze Internetu Rzeczy (IoT)
Pomimo doniesień na temat ataków hakerskich na dobrze chronione instytucje, nowoczesne centrum danych jest całkiem bezpieczne w porównaniu z innymi potencjalnymi punktami dostępu do wrażliwych danych.
Z reguły hakerzy atakują najsłabsze ogniwo, jakim często jest przeglądarka. Obecnie wg szacunków Gartnera 6,4 miliarda urządzeń jest stale podłączonych do sieci. Liczba ta wrasta dzięki popularności trendu BYOD (Bring Your Own Device). Jednocześnie wzrasta liczba aktywnych przeglądarek, a tym samym powstaje coraz miejsc potencjalnego wycieku wrażliwych danych.
Biorąc pod uwagę wartość transakcji i wagę danych, usługi finansowe prawdopodobnie pozostaną jednym z głównych celów ataków. Niestety, jest to również jeden z trudniejszych do ochrony obszarów, głównie dlatego, że zautomatyzowane transakcje stają się normą. Zapobieganie prowadzeniu automatycznych transakcji bankowych przez zainfekowane strony, zawsze będzie podstawowym zmartwieniem instytucji finansowych.
Poza rynkiem finansowym hakerzy stawiają sobie za cel aplikacje z bazami danych dużych klientów (jak np. Ashley Madison), które mogą zawierać informacje finansowe lub inne wrażliwe dane mogące posłużyć w przyszłości do szantażu.
Co prawda oszustwa w tradycyjnej sieci nadal dominują, ale w 2015 roku zauważono znaczący wzrost ataków na urządzeniach mobilnych. Zagrożenie jest tożsame, jednak oszustwa w tej formie stają się coraz bardziej groźne, gdyż klienci nie myślą o nich tak często, a polegają na swoich urządzeniach mobilnych w wielu aspektach, nawet tak wrażliwych jak bankowość mobilna. W ten sam sposób co tradycyjne oszustwa internetowe, przeglądarki internetowe na ich urządzeniach mobilnych klientów są podatne na działanie złośliwego oprogramowania czy wyłudzania danych. Liczba serwisów czy urządzeń do których można się dostać dzięki przeglądarkom, w połączeniu z różnego typu atakami, przyczynia się do bardzo złożonego obrazu, który wymaga równie zaawansowanych zabezpieczeń.
Pomagamy firmom by mogły sobie radzić same
Firmy często narażają się na ataki nie posiadając odpowiednich środków do radzenia sobie z zagrożeniami. Programy anty-wirusowe nie są już wystarczającą ochroną dla przeglądarek. Firmy potrzebują narzędzi i kompetencji by być na bieżąco z metodami stosowanymi przez oszustów.
Poza brakiem dostępu do odpowiednich rozwiązań technicznych, alarmujący jest również brak przeszkolenia użytkowników. Kradzież danych i ich wyłudzanie są często powiązanie z brakiem świadomości wśród pracowników, a to może kosztować organizacje utratę reputacji, pieniędzy i klientów. Ponadto istotne jest aby pracownicy byli przeszkoleni w zakresie niebezpieczeństwa czyhającego na nich również w ich wewnętrznej sieci korporacyjnej.
Niebezpieczeństwo oszustwa nie powinno być problemem
Istnieją standardowe rozwiązania, które mogą zostać wykorzystane przez firmy aby zredukować ryzyko oszustw internetowych (wykrywanie malware czy gróźb wyłudzenia danych). Istnieją również bardziej zaawansowane rozwiązania, które szyfrują wrażliwe dane aby uchronić je przed kradzieżą. Jednak szybko rozwijający się arsenał oszustów sprawia że te metody stają się coraz mniej efektywne. Obrona przed złośliwym oprogramowaniem, wyłudzaniem danych i innymi niebezpieczeństwami wymaga przemyślanej kombinacji wielu rozwiązań.
Jak więc przedsiębiorstwa mogą pozostać w grze i chronić swoje poufne informacje, a także powierzone im dane klientów? Obserwujemy na rynku konieczność posiadania wysokiego poziomu kompetencji, a także zwiększający się popyt na skuteczne rozwiązania – jest to zwiastunem rosnącego zaufania do zewnętrznych dostawców i konsultantów. Dostęp do konsultanta 24h/7, stałe raportowanie i analiza zagrożeń – to kluczowe wymogi aby organizacja i klient byli i bezpieczni i zadowoleni.
Jednak przedsiębiorstwa naprawdę chcą przełożenia zalewających ich informacji na wartościowe dane biznesowe.
Kiedy sprawdzamy organizacje, które zostały wybrane jako cele powyższych ataków, okazuje się, że większość padła ofiarą bardzo podstawowych zagrożeń. To pokazuje, że bezpieczeństwo aplikacji, jest na niewystarczającym poziomie. Przedsiębiorstwa często implementują rozwiązania bazując na ostatnich doniesieniach czy poszczególnych odmianach malware.
Inne rozwiązanie jest skuteczniejsze: należy skoncentrować się na umacnianiu całej infrastruktury, zamiast koncentracji na konkretnym zagrożeniu – wówczas organizacje będą przygotowane na dużą różnorodność ataków internetowych.
Ponadto ochrona konkretnej aplikacji jest skuteczniejsza niż chronienie miejsca, w którym atak nastąpił. Pracując wspólnie z ekspertami można również aktualizować i stale rozwijać rozwiązania chroniące przed atakami, gdyż zagrożenia bez przerwy się zmieniają.
Autor: Ireneusz Wiśniewski, Dyrektor Zarządzający w F5 Networks
